思科ACL详解


思科ACL
基本原则:1、按顺序执行,只要有一条满足,则不会继续查找
             2、隐含拒绝,如果都不匹配,那么一定匹配最后的隐含拒绝条目,思科默认的
             3、任何条件下只给用户能满足他们需求的最小权限
             4、不要忘记把ACL应用到端口上

一、标准ACL
    命令:access-list {1-99}{permit/deny} source-ip source-wildcard [log]
    例:access-list 1 penmit192.168.2.0 0.0.0.255    允许192.168.2.0网段的访问
          access-list1 deny 192.168.1.0 0.0.0.255      拒绝192.168.1.0网段的访问
   说明:wildcard为反掩码,host表示特定主机等同于192.168.2.30.0.0.0;any表示所有的源或目标等同于0.0.0.0 255.255.255.255;log表示有匹配时生成日志信息;标准ACL一般用在离目的最近的地方

二、扩展ACL
    命令:access-list {100-199}{permit/deny}  protocol source-ipsource-wildcard  [operator port]destination-ipdestination-wildcard  [operatorport] [established][log]
    例:access-list 101 permit tcp192.168.2.0 0.0.0.255 gt 1023 host 192.168.1.2 eq80
         允许192.168.2.0网段的主机访问主机192.168.1.2的web服务
         access-list101 permit udp 192.168.2.0 0.0.0.255 gt 1023 any eq53
          允许192.168.2.0网段的主机访问外网以做dns查询
    说明:gt1023表示所有大于1023的端口,这是因为一般访问web、ftp等服务器时客户端的主机是使用一个1023以上的随机端口;established表示允许一个已经建立的连接的流量,也就是数据包的ACK位已设置的包。

三、命名ACL
    命令: ipaccess-list {standard/extended} name
              { permit/deny} source-ip source-wildcard                     标准
              { permit/deny} protocol source-ip source-wildcard [operator port]destination-ipdestination-wildcard  [operatorport] [established][log]                    扩展
    例:ip access-list extendedoutbound          定义一个名为outbound的命名ACL
           permit tcp192.168.2.0 0.0.0.255 gt 1023 host 192.168.1.2 eq80  
         允许192.168.2.0网段的主机访问主机192.168.1.2的web服务

四、动态ACL
     动态ACL是一种利用路由器telnet的验证机制,动态建立临时的ACL以让用户可以暂时访问内网的一种技术
    命令:access-list{100-199} dynamic username [timeout minutes] permit any dest-ipdest-wildcard
    说明:username必须是路由器上的某一个用户;timeout为绝对超时时间;最好定义dest-ip为外网要访问的服务器的IP.
    例: 1:username lyl passwordlyl           建立用户,用于用户验证
         2:access-list 101 permit tcp any host10.10.1.1  eq23     允许外网用户访问路由器外端口的telnet服务,用于验证
              access-list101 permit tcp any host10.10.1.1  eq3001  允许外网用户访问路由器外端口的3001端口,用于telnet管理
              access-list101 dynamic lyl timeout 8 permit ip any host 192.168.2.3引用路由器上的lyl用户以建立动态的ACL
          3、line vty 03             
             loginlocal              定义本地验证
             autocommandaccess-enable host timeout 3       用于动态ACL验证用户,此处host绝不可少,如果没有则生成的动态ACL源地址将为any,则动态ACL毫无意义
             line vty4
             loginlocal
             rotary  1                 用开telnet管理,端口为3001
           4、ints1/0
             ip add10.10.1.1 255.255.255.252
             noshut
              ipaccess-group 101 in


五、自反ACL
   基本思想:内网可以访问外网,但外网没有允许不能访问内网,内网访问外网的回应数据可以通过
    例:一、ip access-list extendedoutbound       创建出去数据的ACL
               permit tcpany any reflect cisco       tcp的流量可以进来,但要在有内部tcp流量出去时动态创建
         二、 ipaccess-list extended inbound       创建进来数据的ACL
                 permit icmpany any                   允许基于ICMP的数据如echo-request
                 evaluate cisco                          允许出去的ACL中的有cisco对应语句的TCP流量进来
         三、 ints1/0                                   s1/0为路由器的接外网的端口
              ipaccess-group outbound out
              ipaccess-group inbound in 
   说明:reflect和evalute后面的对应名应该相同,此例中为cisco

相关推荐
四六级在大学bai各类考试中占有相当du重要的地位。在大四在校签订单位的时候,绝大多zhi数公司都有英语要求:通dao过四级。真正进入社会以后,随着现在英语的普及,很多地方,很多事情,都会用到英语,具有一定的英语水平,能够让你在工作中出色不少。 大学英语四六级对毕业后求职的重要性: 关系到能不能拿到毕业证 我不敢说全国,最起码在广东,重本的211和985的名牌大学,大部分四六级证书是和毕业证挂钩的。可能还没到就业,万一你的全国英语四级考试达不到425分,你就拿不到你的毕业证书。所以四六级你说重不重要? 是一半企业的敲门砖 (1)随着大学生毕业人数的增长,社会面临的就业压力越来越大,企业为了挑选人才,国企和外企一般都会把四六级证书作为一个最低的门槛。 (2)虽然说全国英语四六级证书只是一张纸,并不能证明一个人的英语水平,但是四级的合格线设在425分对于国内大学生英语要求还是比较低的。所以如果你没有通过英语四级的证书,很多企业在筛选简历时就会把你直接out了。 (3)可以说如果你没有通过大学英语四六级的考试,你的前途就暗淡了一半,很多企业都不会为你敞开大门。当然,如果你有关系的话什么证书都是扯淡。 海外合作是大势所趋 (1)现在这个社会,海外人员越来越多,海外合作的公司也越来越多,走在街上,说不定一天能遇到好几个问路的外国人。所以如果你没有能证明你英语能力的一纸证书,你很难向公司证明你的外语水平和能力。 (2)在北上广深,就连现在的计程车司机也有一定的英语基础,否则生意就很难做下去。所以说在日常生活中,我们也有很多机会和外国人打交道,在这个海外合作是大势所趋的年代,英语能力更为重要。
©️2020 CSDN 皮肤主题: 酷酷鲨 设计师:CSDN官方博客 返回首页
实付 9.90元
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值